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Beschreibung 

Verfahren und Vorrichtung zum Absichern einer Exponentiati- 
ons-Berechnung mittels dem chinesischen Restsatz (CRT) 

Die vorliegende Erfindung bezieht sich auf die Kryptographie 
und insbesondere auf Verfahren und Vorrichtungen zum Absi- 
chern einer Exponentiations-Berechnung mittels chinesischem 
Restsatz (CRT) gegen Fehlerattacken . 

Die modulare Exponentiation ist eine der Kernberechnungen fur 
verschiedene kryptographische Algorithmen. Ein Beispiel fiir 
einen weit verbreiteten kryptographischen Algorithmus ist das 
RSA-Kryptosystem, das beispielsweise in ^.Handbook of Applied 
Cryptography"', Menezes, van Oorschot, Vanstone, CRC Press, 
1996, Kapitel 8,2, beschrieben ist. Das RSA-Kryptosystem ar- 
beitet f olgendermaBen. Bei der Verschlusselung verschlusselt 
eine Partei B eine Nachricht m fur eine andere Partei A. Die 
Partei A soil die von B erhaltene verschlusselte Nachricht 
entschlusseln. Die Partei B erhalt zunachst den offentlichen 
Schliissel von der Partei A. Die Partei B stellt dann die zu 
verschlusselnde Nachricht als Ganzzahl m dar. Dann verschlus- 
selt die Partei B die Nachricht m f olgendermafien: 

c = mod n 

In Gleichung (1) stellt m die Klartext-Nachricht dar. e ist 
der offentliche Schlussel. n ist der Modul und ist ebenfalls 
offentlich. c stellt die verschlusselte Nachricht dar. 

Die Partei B sendet nun die verschlusselte Nachricht c zu der 
Partei A. 

Zur Entschlusselung, also urn den Klartext m wieder aus dem 
Geheimtext c zu erhalten, fuhrt A folgende Berechnung aus: 



m = c^ mod n 



(2) 
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In Gleichung (2) stellt d den privaten Schlussel der Partei A 
dar, der vor Angriffen zu schutzen ist. 

5 In der Technik ist ferner auch ein RSA-Signaturalgorithmus 
bekannt. Hierbei wird f olgendermalien vorgegangen. Jede Enti- 
tat A erzeugt zunachst zwei groBe Primzahlen p und q und be- 
rechnet dann den Modul n aus dem Produkt von p und q. Daraus 
wird dann, wie es ebenfalls im oben bezeichneten Fachbuch im 
10 Kapitel 11.3 beschrieben ist, eine Schlusselerzeugung vorge- 
nommen, so daft jede Partei einen offentlichen Schlussel hat, 
der aus n, also dem Modul, und e besteht, wahrend jede Partei 
zusatzlich einen privaten Schlussel d hat. 

15 Zur RSA-Signaturerzeugung und Verifikation signiert die Enti- 
tat A eine Nachricht m. Jede Entitat B soil dann die Signatur 
von A verifizieren und die Nachricht m aus der Signatur wie- 
dergewinnen . 

20 Bei der Signaturerzeugung berechnet die Entitat A zunachst 

eine Ganzzahl m' = R(m). Danach fuhrt die Entitat A folgende 
Berechnung durch: 



" s ist dabei die Signatur von A fur die Nachricht m. 

Zur Verifikation der Signatur der Partei A und zum Wiederge- 
winnen der Nachricht m muli die Partei B f olgendermalien vorge- 
30 hen: 

Zunachst muli die Partei B den offentlichen Schlussel (n, e) 
von A erhalten. Dann fuhrt die Partei B folgende Berechnung 
durch: 



m 



mod n 



(3) 




35 



m' = s® mod n 



(4) 
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In Gleichung (4) ist e der offentliche Schlussel von A. 

Die Partei B wird dann verif izieren, ob m' das Element aus 
einem Raum Mr ist. Wenn dies nicht der Fall ist, wird die Si- 
5 gnatur zuriickgewiesen . Wenn dies der Fall ist, wird die Nach- 
richt m wiedergewonnen, indem m = R"'"^(m') berechnet wird. 

Aus der obigen Darstellung wird ersichtlich, dali die modulare 
Exponentiation an vielerlei Stellen benotigt wird. Insbeson- 
dere wird zur RSA-Verschlusselung in Gleichung (2) und zur 
RSA-Signaturerzeugung in Gleichung (3) mit dem geheimen 
Schlussel d gerechnet. 

Nachdem der geheime Schlussel - genauso wie der offentliche 
Schlussel - bei typischen RSA-Systemen betrachtliche Langen 
annehmen kann, wie z. B. 1024 oder 2048 Bits, ist die modula- 
re Exponentiation eine relativ aufwendige Berechnung. 

Um die modulare Exponentiation schneller berechnen zu konnen, 
20 ist es bekannt, den sogenannten chinesischen Restsatz (CRT; 
CRT = Chinese Remainder Theorem) einzusetzen, der im Absatz 
2.120 des oben bezeichneten Fachbuchs beschrieben ist. Fur 
RSA-Systeme wird insbesondere der Algorithmus von Garner be- 
vorzugt, der ebenfalls in dem oben beschriebenen Fachbuch im 
2i5 Abschnitt 14.5.2 beschrieben ist. Der klassische Algorithmus 
^ fur den CRT benotigt typischerweise eine modulare Reduktion 

mit dem Modul M, wahrend dies bei dem Algorithmus nach Garner 
nicht der Fall ist. Statt dessen wird hier die eine ,,grolJe"'^ 
modulare Exponentiation in zwei „kleine'^ modulare Exponentia- 
30 tionen aufgeteilt, deren Ergebnisse dann gemali dem chinesi- 
schen Restsatz zusammengesetzt werden. Obwohl hier zwei Expo- 
nentiationen benotigt werden, ist es dennoch gunstiger, zwei 
„kleine^' modulare Exponentiationen zu berechnen, als eine 
„grolie'' modulare Exponentiation. 

35 

Zur Darstellung des RSA-CRT-Verf ahren unter Verwendung des 
Algorithmus von Garner wird auf Fig, 3 Bezug genommen. In ei- 




unbekannt 



4 



nem Block 100 sind die Eingangsparameter dargelegt, die alle 
lediglich von p und q sowie vom Schlussel d abhangen, jedoch 
nicht von der beispielsweise zu signierenden Nachricht m. In 
einem Block 102 ist die Ausgabe des Algorithmus dargestellt, 
wie sie anhand von Gleichung (2) oder Gleichung (3) darge- 
stellt worden ist. 

Aus den im Block 100 dargestellten EingangsgrofSen wird dann 
in einem Block 104 eine erste modulare Hilf s-Exponentiation 
(sp) berechnet. Analog dazu wird in einem Block 106 dann eine 
zweite modulare Hilf s-Exponentiation (sq) berechnet. Die Er- 
gebnisse der ersten und der zweiten modularen Hilfs- 
Exponentiation werden dann in einem Block 108 gemali dem chi- 
nesischen Restsatz zusammengesetzt , urn das Ergebnis s = m*^ 
mod n zu erhalten. Generell ist das in Fig. 3 dargestellte 
RSA-CRT-Verfahren etwa um das Vier-fache schneller als die 
direkte Berechnung der im Block 102 dargestellten Ausgabe 
beispielsweise mittels des Square-and-Multiply-Algorithmus . 

Aufgrund der Rechenef f izienz ist der RSA~CRT-Algorithmus, der 
in Fig. 3 dargestellt ist, dem Square-and-Multiply- 
Algorithmus in jedem Fall vorzuziehen. Nachteilig am RSA-CRT- 
Algorithmus ist jedoch die Tatsache, daft er gegenuber krypto- 
graphischen ^Angriffen'' dahingehend sehr anfallig ist, da.fi 
der geheime Schlussel d ermittelt werden kann, wenn eine feh- 
lerhafte Berechnung des RSA-CRT -Algorithmus entsprechend aus- 
gewertet wird. Diese Tatsache ist in ,,On the Importance of 
Eliminating Errors in Cryptographic Computations"', Boneh, De- 
Millo, Lipton, J. Cryptology (2001) 14, S. 101 bis 119, be- 
schrieben. Es wird ausgefuhrt, dafi der geheime Signatur- 
schlussel, der bei einer Implementation des RSA-Verf ahrens, 
das auf dem chinesischen Restsatz (CRT) basiert, aus einer 
einzigen fehlerhaften RSA-Signatur ermittelt werden kann. 

Eine fehlerhafte RSA-Signatur kann dadurch erhalten werden, 
dafi die Software oder die Hardware, die den Algorithmus aus- 
fuhrt, zu Fehlern gebracht wird, beispielsweise durch Ausset- 
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zen des Kryptoprozessors gegenuber einer mechanischen oder 
thermischen Belastung. 

Als Gegenmalinahmen gegen solche Angriffe, die auf Hardware- 
Fehlern basieren, wird vorgeschlagen, die Ausgabe jeder Be- 
rechnung zu uberprufen, bevor dieselbe aus dem Chip ausgege- 
ben wird. Obwohl dieser zusatzliche Verif ikationsschritt das 
Systemverhalten verschlechtern kann, wird davon gesprochen, 
daU diese zusatzliche Verifikation aus Sicherheitsgrunden we- 
sentlich ist. 

Die einfachste Art und Weise der Verifikation besteht darin, 
eine Gegenrechnung mit dem offentlichen Exponenten e durchzu- 
fuhren, wobei folgende Identitat festgestellt werden soli: 

(m'*)^ = m mod n (5) 

Dieser zusatzliche Verif ikationsschritt ist jedoch vom Re- 
chenaufwand her unmittelbar vergleichbar mit dem eigentlichen 
Signatur- bzw. Entschlusselungs-Schritt und fuhrt daher zu 
einer starken Verringerung des Systemverhaltens, liefert je- 
doch eine hohe Sicherheit. 

Nachteilig ist jedoch, dafi der offentliche Schlussel e in ub- 
lichen Protokollen, wie z. B. der ZKA-lib, nicht verfugbar 
ist. Die ZKA-lib ist eine Sammlung von Spezif ikationen des 
zentralen Kreditausschusses , die regeln, welche Daten verfug- 
bar sind. Fur das RSA-CRT-Verf ahren sind lediglich die im 
Block 100 von Fig. 3 gegebenen Eingangsdaten verfugbar. Der 
offentliche Schlussel e ist hierbei nicht Tell der in der 
ZKA-lib-Beschreibung vorgegebenen Parameter. Der Exponent e 
muRte daher aufwendig berechnet werden, um die „Gegenrech- 
nung'' gemaR Gleichung (5) durchfuhren zu konnen. Dies wurde 
die Leistung der Signatur-Chipkarte welter reduzieren und 
durfte dazu fuhren, daft solche Algorithmen aufgrund ihrer 
langsamen Arbeitsweise keine Chance auf eine Durchsetzung am 
Markt haben. 
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In der Fachverof f entlichung von A, Shamir, ,,How to check mo- 
dular Exponentiation'', Rump Session, Eurocrypt 97, ist ein 
weiteres Verfahren beschrieben, urn Signaturen zu verifizie- 
5 ren, die durch RSA-CRT-Verf ahren erzeugt werden. In dieser 

Fachverof f entlichung wird vorgeschlagen, eine kleine Zufalls- 
zahl r (beispielsweise 32 Bits) zu verwenden und statt der 
Berechnung im Block 104 folgende Berechnung auszufuhren: 

"10 sp' = m*^ mod pr (6) 



Statt dem Block 106 wird folgende Berechnung ausgefuhrt: 
sp' = m^ mod qr 

15 

Dann, unmittelbar nach den Berechnungen gemalS den Gleichungen 
(6) und (7) werden folgende Uberpruf ungsberechnungen durchge- 
fuhrt : 

20 sp' mod r = sq' mod r (8) 

Wenn die Uberprufung gemali Gleichung (8) wahr ist, wird sp 
und sq aus folgender Gleichung (9) erhalten: 

^5 sp' mod p = sp ; sq' mod q = sq (9) 

Aus den durch Gleichung (9) erhaltenen Werten sp und sq wird 
dann die im Block 108 in Fig. 3 dargestellte Berechnung 
durchgefuhrt, urn aus den modularen Hilf s-Exponentiationen das 
30 Gesamtergebnis s mittels des chinesischen Restsatzes zusam- 
menzuf iigen. 



Nachteilig an diesem Verfahren ist, dafi zur Uberprufung le- 
diglich der Hilf sparameter r sowie die Zwischenergebnisse sp' 
35 und sq' herangezogen werden, wobei die Uberprufung nicht zur 
Unterdruckung eines Ausgabewerts fuhrt, wenn eine krypto- 
graphische Attacke stattgef unden hat, die moglicherweise 
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nicht die Zwischenergebnisse sp\ sq' oder den Parameter r 
beeintrachtigt hat, aber dann, beispielsweise in den in Glei- 
chung (9) gegebenen Schritten und der abschlielienden Zusam- 
mensetzung des Algorithmus zu einem Hardware-Fehler fuhrt, 
5 der dazu verwendet werden kann, urn den geheimen Schlussel d 
unerlaubterweise auszuspahen. 

Daruber hinaus wird in der zitierten Fachverof f entlichung von 
Boneh u. a. beispielsweise als Abwehrmafinahme zur Sicherung 

10 des Fiat-Shamir-Schemas vorgeschlagen, Registerf ehler , die 
auftreten, wahrend der Prozessor auf eine Antwort von aulien 
wartet, dadurch abzuwehren, dal5 Fehlererf assungsbits zum 
Schutz des internen Speichers eines Prozessors eingesetzt 
werden. Weitere MaUnahmen, urn RSA-Signaturen zu schutzen, be- 

15 stehen darin, eine Zufalligkeit in das Signaturverf ahren ein- 
zufuhren. Die Zufalligkeit stellt sicher, daB der Unterzeich- 
ner niemals die gleiche Nachricht zweimal unterzeichnet . Fer- 
ner weili der Verif izierer , wenn er eine fehlerhafte Signatur 
vorliegen hat, nicht den vollstandigen Klartext, der unter- 

20 zeichnet worden ist. 

Die Aufgabe der vorliegenden Erfindung besteht darin, ein 
verbessertes Konzept zum Absichern einer Exponentiations- 
Berechnung mittels chinesischem Restsatz (CRT) gegen Fehler- 
2^5 attacken zu schaffen. 

# 

Diese Aufgabe wird durch ein Verfahren gemali Anspruch 1 oder 
eine Vorrichtung gemali Anspruch 11 gelost. 

30 Der vorliegenden Erfindung liegt die Erkenntnis zugrunde, daB 
ein Sicherheitsleck dahingehend besteht, wenn das Zusammenfu- 
gen zweier HilfsgroBen, die modulare Exponentiationen mit ei- 
nem ^kleinen"" Modul sind, mittels chinesischem Restsatz, um 
das Ergebnis einer modularen Exponentiation mit einem „gro- 

35 Ben'' Modul zu erhalten, nicht uberpruft wird. Wenn lediglich 
die Berechnung der HilfsgroBen uberpruft wird, jedoch dann, 
im Zusammenfugungsschritt, keine Uberprufung mehr vorgenommen 
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wird, kann eine Fehlerattacke, die erst nach der Berechnung 
der HilfsgroJien zu einer Fehlfunktion des Rechenwerks im 
Kryptographieprozessor fuhrt, zu einer falschen Ausgabe fuh- 
ren. Insbesondere RSA-Berechnungen mittels dem chinesischen 
Restsatz sind aus Ef f izienzgrunden erwunscht, da sie einen 
Rechenzeitgewinn urn einen Faktor 4 ermoglichen . Andererseits 
sind RSA Berechnungen mit CRT besonders anfallig fur Sicher- 
heitslecks. Schlieftlich soil die Uberprufung des Zusammenfu- 
gungsschritts nicht besonders aufwendig sein, urn nicht den 
Rechenzeitgewinn durch Verwendung des CRT durch das erneute 
Berechnen des Zusammenf ugungsschritts wieder zunichte gemacht 
werden. Erf indungsgemalS wird daher nach dem Zusammenf ugen der 
ersten HilfsgroBe und der zweiten HilfsgroJJe, urn ein Ergebnis 
der Exponentiations-Berechnung zu erhalten, das Ergebnis der 
Exponentiations-Berechnung mittels eines Pruf algorithmus 
uberpruft, der sich von dem Zusammenf ugungsalgorithmus unter- 
scheidet, und der auf eine erste Primzahl bzw. eine zweite 
Primzahl zugreift. Falls die Uberprufung ergibt, daft der 
Pruf algorithmus ein anderes als ein vorbestimmtes Ergebnis 
liefert, wird die Ausgabe des Ergebnisses der Exponentiati- 
ons-Berechnung unterdriickt. Ansonsten kann davon ausgegangen 
werden, dafi keine Hardware-Attacke stattgef unden hat, so dafi> 
das Ergebnis der Exponentiations-Berechnung ausgegeben werden 
kann, 

Ein Vorteil der vorliegenden Erfindung besteht darin, dali das 
Sicherheitsleck, das bisher beim Zusammenf ugen mittels chine- 
sischem Restsatz bestand, „gestopff wird. 

Ein weiterer Vorteil der vorliegenden Erfindung besteht dar- 
in, daB zur Uberprufung keine erneute Zusammenf ugungsberech- 
nung stattfinden mufi, sondern dali mit einfachen Mitteln unter 
Verwendung der ersten bzw, der zweiten Primzahl eine Uberpru- 
fung der Exponentiations-Berechnung durchgefuhrt werden kann. 

Ein weiterer Vorteil der vorliegenden Erfindung besteht dar- 
in, dali nunmehr nicht irgendwo in der Mitte des RSA-CRT- 



unbekannt 



Algorithmus, sondern unmittelbar vor der Ausgabe des fur ei- 
nen Angreifer relevanten Ergebnisses eine Sicherheitsuberpru- 
fung durchgefiihrt wird. 

5 Ein weiterer Vorteil der vorliegenden Erfindung besteht dar- 
in, dafi die Uberprufung des Zusammenf iigungsschritts gemaft der 
vorliegenden Erfindung ohne weiteres mit weiteren Uberpru- 
fungsmalinahmen, beispielsweise zur Uberprufung der Ergebnisse 
der Hilf s-Exponentiationen oder aber zur Abwehrung von Hard- 

10 ware-Attacken durch Uberprufung der Eingangsdaten nach der 

kryptographischen Berechnung kombiniert werden konnen, um ei- 
nen nach alien Seiten abgesicherten RSA-CRT-Algorithmus zu 
erhalten, bei dem der Mehraufwand zur Absicherung des Algo- 
rithmus gegenuber Hardware-Attacken im Vergleich zum Gewinn 

15 durch Verwendung des RSA-CRT-Verf ahrens klein ist. 

Bevorzugte Ausf iihrungsbeispiele der vorliegenden Erfindung 
werden nachfolgend Bezug nehmend auf die beiliegenden Zeich- 
nungen detailliert erlautert. Es zeigen: 

20 

Fig. 1 ein Blockschaltbild des erf indungsgemallen Konzepts; 

Fig. 2 ein bevorzugtes Ausf uhrungsbeispiel fur ein siche- 
res RSA-CRT-Verf ahren, bei dem neben der Uberpru- 
25 fung des Zusammenf iigungsschritts auch eine Uberpru- 

■9- fung einer Veranderung von Eingangsdaten und eine 

Uberprufung von Zwischenergebnissen vorgenommen 
wird; und 

30 Fig. 3 ein Blockschaltbild des RSA-CRT-Verf ahrens unter 
Verwendung des Algorithmus von Garner. 

Fig. 1 zeigt ein Blockdiagramm des erf indungsgemafien Konzepts 
zum Absichern einer Exponentiations-Berechnung mittels chine- 
35 sischem Restsatz. Zunachst werden zwei Primzahlen p, q be- 
reitgestellt, deren Produkt gleich dem Modul n ist (Block 
10) . Hierauf wird unter Verwendung der ersten Primzahl p und 
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unter Verwendung des chinesischen Restsatzes eine erste 
HilfsgroBe sp berechnet (Block 12) . Analog wird unter Verwen- 
dung der zweiten Primzahl q ebenfalls mittels des CRT eine 
zweite Hilfsgrofie sq berechnet. Die erste und die zweite 
HilfsgroBe sp, sq werden nunmehr zusammengef ugt (Block 16) , 
urn aus den beiden Hilf s-Exponentiationen sp und sq mit je- 
weils ,,kleinem'' Modul p bzw. q eine Exponentiation mit „gro- 
Bem"' Modul n zu erhalten. Der beste Gewinn wird dann er- 
reicht, wenn die beiden Primzahlen p, q etwa die gleiche Lan- 
ge haben, also jeweils halb so groiJ sind wie der „groBe'' Mo- 
dul n. 

Erf indungsgemafi wird nunmehr in einem Block 18 die Zusammen- 
fiigung der ersten und der zweiten HilfsgroBe mittels eines 
Uberprufungsalgorithmus uberpruft^ der sich von dem Zusammen- 
fugungsalgorithmus, der im Block 16 ausgefuhrt wird, unter- 
scheidet, und der das Ergebnis s der Zusammenf ugung und die 
erste Primzahl und/oder die zweite Primzahl verwendet, wie es 
durch Primzahl-Eingangsleitungen 20a, 20b symbolisch darge- 
stellt ist. Ergibt die Uberprufung im Block 18, daib der in 
Block 18 verwendete Pruf algorithmus ein anderes als ein vor- 
bestimmtes Ergebnis liefert, wird zu einem Block 22 gesprun- 
gen, der eine Ausgabe des Ergebnisses des Zusammenf ugungs- 
schritts 16 unterdruckt. Ergibt der Uberprufungsalgorithmus 
im Block 18 dagegen, daft sich das vorbestimmte Resultat er- 
gibt, so kann zu einem Block 24 gesprungen werden, um eine 
Ausgabe des Ergebnisses des Zusammenf ugungsschritts 16 zu 
veranlassen, Diese Ausgabe kann beispielsweise eine digitale 
Signatur oder ein entschlusselter Klartext sein. 

Bei einem bevorzugten Ausf uhrungsbeispiel der vorliegenden 
Erfindung lautet der Uberprufungsalgorithmus f olgendermalien : 

s mod p = sp und/oder (10) 



s mod q = sq 



(11) 
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Dieser Uberpruf ungsalgorithmus kann unmittelbar auf den Zu- 
sammenfugungsschritt im Block 108 von Fig- 3 angewendet war- 
den. Hierzu wird f olgendermalien vorgegangen. Zunachst wird 
das Zwischenergebnis s, das der Block 108 liefert, und das 
beispielsweise in einem Ausgangsregister des Kryptoprozessor, 
vorliegt, verwendet. Daruber hinaus wird an eine Eingangsda- 
ten-Speicherstelle zugegriffen, an der die erste Primzahl p 
abgespeichert ist. Hierauf wird s mod p berechnet und das er 
haltene Ergebnis zwischengespeichert . Dann wird auf eine Zwi 
schenergebnis-Speicherstelle zugegriffen, an der das Ergebni 
des Blocks 104, als sp, gespeichert ist. Das Ergebnis der Be 
rechnung s mod p wird mit dem gespeicherten sp verglichen. 
Stellt sich heraus, dali die Gleichheitsbedingung erfullt ist 
so hat der erste Teil des Uberpruf ungsalgorithmus zu keinem 
Fehler gefuhrt. Die analoge Vorgehensweise kann mit der zwei 
ten Primzahl q durchgefuhrt werden, um s mod q zu berechnen, 
und um dieses Ergebnis dann mit sq zu vergleichen. Ergibt 
sich auch hier die Gleichheitsbedingung, so kann davon ausge 
gangen werden, daB der Zusammenf ugungsschritt korrekt statt- 
gefunden hat, und daI5 auch an der Eingangsdaten- 
Speicherstelle, wo p und q gespeichert sind, als auch an der 
Zwischenergebnisspeicherstelle, wo sp und sq gespeichert 
sind, keine Veranderung aufgetreten ist, die auf eine Hard- 
ware-Attacke hindeuten wurde. Ergibt dagegen zumindest ein 
Teil des Uberpruf ungsalgorithmus einen Fehler, so wird die 
Ausgabe unterdruckt, da bei der Zusammenf ugung selbst 
und/oder an den Speicherplat zen fur sp, sq, p, q, Veranderun 
gen aufgetreten sind. 

Im nachfolgenden wird der erste Teil des Oberpruf ungsalgo- 
rithmus s mod p = sp naher erlautert. Aus der im Block 108 
dargestellten Gleichung wird ersichtlich, dali dieselbe nach 
einer modularen Reduktion mit der ersten Primzahl p zu s = s 
+ (sp - sq) „entartet'\ so dali sich die Terme +sq und -sq ge 
genseitig aufheben, und daB sp verbleibt. 
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Wird dagegen mit dem zweiten Teil des Uberpruf ungsalgorithmus 
mit s mod q = sq gearbeitet, so ergibt sich bei naherer Be- 
trachtung der im Block 108 befindlichen Gleichung, dali diese 
den Wert sq + einem ganzzahligen Faktor multipliziert mit q 
5 ist, wobei die modulare Reduktion mittels des Moduls q von q 
mal einer konstanten Zahl den Wert 0 ergibt, so daB aus der 
im Block 108 befindlichen Gleichung noch sq verbleibt. 

Aus naherer Analyse der im Block 108 befindlichen Gleichung 
10 fur s konnen unter Verwendung der obigen Ausfuhrungen weitere 
Uberpruf ungsalgorithmen abgeleitet werden, urn das Ergebnis 
der Zusammenf ugung auf irgendeine Art und Weise zu verarbei- 
ten, um ein vorbestimmtes Resultat zu erhalten, wenn kein 
Fehler aufgetreten ist, bzw. um ein von dem vorbestimmten Re- 
15 sultat abweichendes Resultat zu erhalten, wenn ein Fehler 
beim Zusammenf iigen aufgetreten ist. 

Im nachfolgenden wird anhand von Fig. 2 ein bevorzugtes Aus- 
fuhrungsbeispiel der vorliegenden Erfindung dargestellt, bei 
20 dem der Zusammenf ugungsschritt als Block 64 gekennzeichnet 
ist, wahrend der erste Teil des Uberpruf ungsalgorithmus im 
Block 66a dargestellt ist, und der zweite Teil des Uberpru- 
f ungsalgorithmus im Block 66b dargestellt ist. Das in Fig. 2 
gezeigte gesamte RSA-CRT-Verf ahren verwendet ferner zur wei- 
25 teren Absicherung gegenuber Fehlerattacken eine Fehleruber- 
^ prufung anhand der Eingangsdaten als auch anhand der ersten 

und der zweiten Hilfsgroibe, um die korrekte Berechnung dieser 
Grofien nachzukontrollieren . 

30 Ferner wird zusatzlich bei dem in Fig. 2 gezeigten bevorzug- 
ten Ausf iihrungsbeispiel zum sicheren Ausfiihren des RSA-CRT- 
Verfahrens eine Uberprufung der Eingangsdaten vor der Ausgabe 
von Ausgangsdaten eines kryptographischen Algorithmus an meh- 
reren Stellen innerhalb des Algorithmus verwendet. 

35 

Des weiteren wird bei dem in Fig. 2 gezeigten Ausf uhrungsbei- 
spiel auch die Berechnung des kryptographischen Algorithmus 
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selbst, and zwar insbesondere die Berechnung der beiden 
Hilf s-Exponentiationen uberpruf t , 

Zunachst werden, wie es bereits anhand von Fig. 3 dargestellt 
worden ist, die Parameter p, q, dp, dq, qinv bereitgestellt , 
die die ublichen Eingabeparameter fur das RSA-CRT-Verf ahren 
sind. Ferner werden, wie es in einem Block 50 von Fig. 2 dar- 
gestellt ist, die zu verschlusselnde Nachricht m sowie eine 
Zahl t und eine Zufallszahl rand als Eingangsdaten bereitge- 
stellt. Vorzugsweise ist die Zahl t eine Primzahl, und vor- 
zugsweise eine kleine Primzahl, welche beispielsweise nicht 
langer als 16 Bits ist, urn den Vorteil des CRT-Verf ahrens 
nicht zu stark zu schmalern, namlich daB die beiden Hilfs- 
Exponentiationen mit kleinerem Modul im Vergleich zu einer 
einzigen modularen Exponentiation mit dem Modul n = p mal q 
stattfinden. Ist die Zahl t keine Primzahl, so ist dieser 
Fall ebenfalls moglich, in den Gleichungen muBte jedoch dann 
der Ausdruch (t-1) durch die Eulersche Phi-Funktion von t er- 
setzt werden, 

Zunachst werden Eingangsdaten in Blocken 52a, 52b verarbei- 
tet. Als Verarbeitungsalgorithmus wird die Multiplikation des 
urspriinglichen Parameters p bzw. q mit der Primzahl t verwen- 
det. Ferner wird als Verarbeitungsvorschrif t die Addition von 
dp mit dem Produkt aus der Zufallszahl rand und der Zahl (p- 
1) bzw. entsprechend fur q verwendet. 

Es sei darauf hingewiesen, dalJ prinzipiell auch eine einzige 
der vier in den Blocken 52a, 52b gegebenen Verarbeitungsvor- 
30 schriften einen erf indungsgemaBen Effekt ergeben wurde. Nach 
der Vollendung der Blocke 52a, 52b werden die durch die Ver- 
arbeitung erhaltenen Sicherheitsinf ormationen p', dp', q' und 
dq' an einer Sicherheitsinf ormationen-Speicherstelle gespei- 
chert. Diese Speicherstelle konnte beispielsweise der Ar- 
35 beitsspeicher eines Kryptoprozessors sein, oder ein inneres 
Register, das dem Rechenwerk des Kryptoprozessors zugeordnet 
ist. Dann wird durch das Rechenwerk, wie es durch Blocke 54a, 
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54b dargestellt ist, als Berechnung innerhalb des krypto- 
graphischen Algorithmus sowohl die erste Hilf s-Exponentiation 
(sp') als auch die zweite Hilf s-Exponentiation (sq') durchge- 
fuhrt, wie es in Fig. 2 gezeigt ist. Nach dem Durchfuhren der 
5 Blocke 54a, 54b werden die Ausgangsdaten der Berechnungen, 
namlich sp' und sq' nicht unmittelbar entweder ausgegeben 
bzw. fur eine weitere Berechnung weitergegeben, sondern es 
wird erf indungsgemafi) zunachst in Blocken 56a, 56b mittels ei- 
nes Kontrollalgorithmus uberpruft, ob die Eingangsdaten fur 

10 die Berechnung in den Blocken 54a, 54b wahrend der Berechnung 
durch die Blocke 54a, 54b verandert worden sind. Hierzu wird 
als Kontrollalgorithmus eine modulare Reduktion verwendet, 

^ wobei als vorbestimmtes Ergebnis entweder 0 erwartet wird, 

wie es in den ersten Zeilen der beiden Blocke 56a, 56b darge- 

15 stellt ist, Oder entweder dp oder dq als vorbestimmtes Resul- 
tat erwartet wird. Das vorbestimmte Resultat ergibt sich, 
wenn die Grolie p', die in der Terminologie der vorliegenden 
Erfindung die Sicherheitsinf ormation ist, nicht beispielswei- 
se durch eine Fehlerattacke verandert worden ist. Dasselbe 

20 gilt fiir die weitere Sicherheitsinf ormation dp'. 

Sind die Uberpruf ungen in den Blocken 56a, 56b erfolgreich, 
also werden vorbestimmte Ergebnisse durch den Kontrollalgo- 
rithmus erhalten, so wird zu Blocken 58a, 58b weitergegangen . 
25 Die Blocke 58a, 58b zeigen bevorzugte Vorberechnungen, um ne- 
^ ben dem Eingangsdaten-Uberpruf ungskonzept auch ein Ergebnis- 
daten-Uberprufungskonzept durchzuf uhren. Mittels eines Ergeb- 
nis-Kontrollalgorithmus (Block 60 in Fig. 2) wird dann iiber- 
pruft, ob die Berechnung der Hilf s-Exponentiationen in den 
30 Blocken 54a, 54b korrekt stattgef unden hat. 

In Blocken 62a, 62b werden die Hilf s-Exponentiationen der 
Blocke 54a, 54b entsprechend modular reduziert, um den Ein- 
fluB des Parameters t bzw. der Zufallszahl zu eliminieren. In 
35 einem Block 64 wird schliefilich, wie es anhand des Blocks 108 
von Fig. 3 klargestellt worden ist, der Zusammenset zungs- 



unbekannt 



15 



schritt ausgefuhrt, um aus den Hilf s-Exponentiations- 
ergebnisse sp, sq die signierte Nachricht s zu erzeugen. 

Bei einem bevorzugten Ausf uhrungsbeispiel der vorliegenden 
Erfindung wird dieses Ergebnis jedoch nicht unmittelbar ver- 
wendet, sondern es wird nach dem Zusammenset zen durch den 
Block 64 eine Uberprufung dahingehend durchgef uhrt , ob das 
Zusammensetzen erfolgreich war. 

Dies wird dadurch erreicht, dafi zunachst die erhaltene si- 
gnierte Nachricht s unter Verwendung der Primzahl p als Modul 
modular reduziert wird. Dieser Kontrollalgorithmus sollte als 
Ergebnis sp ergeben, wobei dieses sp gleich dem im Block 62a 
ausgerechneten Wert sp sein muI5, 

Analog wird in einem Block 66b vorgegangen, um die Korrekt- 
heit des Ergebnisses s auch anhand einer modularen Reduktion 
mit der Primzahl q als Modul zu uberprufen. Hierzu wird zur 
Ausfuhrung der in Block 66a gegebenen Berechnung zunachst auf 
die Zwischenspeicherstelle zugegriffen, an der das Ergebnis 
des Blocks 64 abgespeichert wurde. Zusatzlich wird auf die 
Speicherstelle zugegriffen, an der das Eingangsdatum p ge- 
speichert ist. Schliefilich wird, um den Vergleich des Blocks 
66a durchzufuhren, auf die Speicherstelle zugegriffen, in der 
das Ergebnis des Blocks 62a, also sp, gespeichert ist. Analog 
wird im Block 66b fur s, q und sq vorgegangen. 

Liefert die Berechnung im Block 66a ein vorbestimmtes Resul- 
tat dahingehend, dali die linke und die rechte Seite der im 
Block 66a gegebenen Gleichung nicht gleich sind, so wird ein 
Fehler ausgegeben, und die Ausgabe des Ergebnisses s des 
Blocks 64 wird unterdriickt. Dieselbe Unterdruckung des Ergeb- 
nisses s findet statt, wenn die Berechnung im Block 66b er- 
gibt, dafi ein Fehler stattgef unden hat. Eine Unterdruckung 
findet somit vorzugsweise bereits dann statt, wenn ein einzi- 
ger Block einen Fehler ergeben hat bzw., in anderen Worten 
ausgedruckt, findet eine Ergebnisausgabe mittels eines Blocks 



unbekannt 

16 



68 nur dann statt, wenn sowohl die Berechnung im Block 66a 
als auch die Berechnung im Block 66b korrekt waren. 

Anhand des Beispiels in Block 66a wird deutlich, dafi> dieser 
5 Ergebnis-Kontrollalgorithmus dahingehend vorteilhaft ist, dali 
er unmittelbar das Ergebnis des Blocks 64 zur Uberprufung 
verwendet, daft er jedoch auch auf den Eingangsdaten- 
Speicherbereich zugreift, urn die Primzahl p zu erhalten bzw. 
den Inhalt der Speicherstelle, an der p stehen sollte, und 
- 10 dali zusatzlich auch ein Zwischenergebnis verwendet wird, nam- 
lich sp, das im Schritt 62a erhalten worden ist. Mittels ei- 
ner Berechnung wird somit sowohl uberpruft, ob sich Eingangs- 
daten verandert haben, als auch wird uberpruft, ob der Zusam- 
^ mensetzungsschritt 64 des RSA-CRT-Verf ahrens von dem Krypto- 
15 Rechenwerk korrekt durchgefuhrt worden ist. Schlielilich wird 
auch ein Zwischenergebnis sp verwendet, so daJi in eine einzi- 
ge einfache Berechnung auch Zwischenergebnis-Register mit 
einbezogen werden. 

Aus dem in Fig. 2 gezeigten Ausf uhrungsbeispiel wird deut- 
lich, dafi sowohl der Verarbeitungsalgorithmus, urn die Sicher- 
heitsinformationen zu erzeugen, als auch der Kontrollalgo- 
rithmus zum Uberprufen der Eingangsdaten einfache Algorithmen 
sind, die ohnehin in einem Krypto-Rechenwerk vorhanden sind, 
wie z. B. ein Multiplikationsalgorithmus Oder ein Algorithmus 
zur Durchfuhrung einer modularen Reduktion. Dasselbe trifft 
zu fur die Verarbeitungsalgorithmen in den Blocken 62a, 62b, 
die ebenfalls auf einer modularen Reduktion basieren, und 
auch fiir den Kontrollalgorithmus in den Blocken 66a, 66b, der 
wiederum auf einer modularen Reduktion basiert. 

Obgleich in dem vorhergehenden in Fig. 2 gezeigten Ausf uh- 
rungsbeispiel als Verarbeitungsalgorithmus die Multiplikation 
einer Zahl mit einer Konstanten, und als - dazu korrespondie- 
35 render - Kontrollalgorithmus die modulare Reduktion des Mul- 
tiplikationsergebnisses mit der urspriinglichen Zahl darge- 
stellt worden sind, ist es fur Fachleute of f ensichtlich, daB 
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eine Vielzahl von miteinander korrespondierenden Verarbei- 
tungsalgorithmen und Kontrollalgorithmen existiert, die es 
ermoglichen, zu uberprufen, ob Eingangsdaten wahrend der 
Durchfuhrung einer Berechnung in einem kryptographischen Al- 
gorithmus z. B. durch Fehlerattacken verandert worden sind. 

Aus Fig. 2 wird ferner deutlich, daft die Verarbeitungsalgo- 
rithmen genauso wie die Kontrollalgorithmen sehr einfach ge- 
staltet werden konnen, und keine zusatzlichen Parameter beno 
tigen, als die ohnehin vorhandenen Parameter, Insbesondere 
wird es erf indungsgemafi bevorzugt, nicht zusatzliche Parame- 
ter, wie z. B. den offentlichen Schlussel e, zunachst aufwen 
dig zu berechnen und dann fur eine ,,Gegenrechnung"" zu verwen 
den, sondern moglichst viele Eingangsdaten, Zwischenergebnis 
daten etc. miteinander zu verknupfen, da damit mittels eines 
einzigen Uberpruf ungsschritts mogliche Fehler im Arbeitsspei 
Cher, in den inneren Regis tern oder in dem Rechenwerk selbst 
detektiert werden konnen, um im Falle eines Fehlers eine Da- 
tenausgabe zu unterdrucken, damit keine geheimen Informatio- 
nen aus einer falschen Ausgabe ermittelbar sind. 
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Patentanspruche 

1. Verfahren zum Absichern einer Exponentiations-Berechnung 
mittels chinesischem Restsatz (CRT) unter Verwendung zweier 

5 Primzahlen (p, q) , die Hilf s-Module fur eine Berechnung von 
Hilfsgroften bilden, die zusammenset zbar sind, um eine modula- 
re Exponentiation fur einen Modul zu berechnen^ der gleich 
dem Produkt der Hilfsgrofien ist, mit folgenden Schritten: 

10 Berechnen (12) der ersten Hilfsgrol^e (sp) unter Verwendung 
der ersten Primzahl (p) als Modul; 

Berechnen (14) der zweiten Hilfsgrofie (sq) unter Verwendung 
der zweiten Primzahl (q) als Modul; 

Zusammenfugen (16) der ersten Hilfsgrofie (sp) und der zweiten 
Hilfsgrofie (sq) unter Verwendung eines Zusarnmenf ugungsalgo- 
rithmus, um ein Ergebnis der Exponentiations-Berechnung zu 
erhalten; 

nach dem Schritt des Zusammenf ugens, Oberprufen (18) des Er- 
gebnisses der Exponentiations-Berechnung mittels eines Pruf- 
algorithmus (66a, 66b), der sich von dem Zusarnmenf ugungsalgo- 
rithmus unterscheidet , unter Verwendung der ersten Primzahl 
(p) und/oder der zweiten Primzahl (q) , wobei der Prufalgo- 
rithmus ein vorbestimmtes Resultat liefert, wenn der Schritt 
des Zusammenfugens (16) korrekt abgelaufen ist; und 

falls der Schritt des Uberpriifens (18) ergibt, dali der Pruf- 
30 algorithmus ein anderes als das vorbestimmte Resultat lie- 
fert, Unterdrucken (22) einer Ausgabe des Ergebnisses der 
Exponentiations-Berechnung . 

2. Verfahren nach Anspruch 1, bei dem der Pruf algorithmus als 
35 Eingangsdaten neben dem Ergebnis (s) der Exponentiations- 
Berechnung einen Inhalt einer Speicherstelle verwendet, an 
der die erste Hilfsgrofie (sp) , die zweite Hilfsgrofie (sq) , 
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die erste Primzahl (p) oder die zweite Primzahl (q) gespei- 
chert sind. 

3. Verfahren nach Anspruch 1 oder 2, 

5 

bei dem die Exponentiations-Berechnung eine RSA- 
Verschlusselung, eine RSA-Entschlusselung, eine RSA- 
Signaturberechnung oder eine RSA-Signatur- 
Verf ikationsberechnung ist • 

IP 

4. Verfahren nach einem der vorhergehenden Anspruche, 




bei dem der Zusammenf iigungsalgorithmus der Algorithmus nach 
Garner ist. 



15 

5. Verfahren nach einem der vorhergehenden Anspruche, 

bei dem der Pruf algorithmus eine modulare Reduktion des Er- 
gebnisses der Exponentiations-Berechnung mit der ersten Prim- 
20 zahl (p) und/oder der zweiten Primzahl (q) als Modul umfalit. 

6- Verfahren nach einem der vorhergehenden Anspriiche, 

bei dem die erste Hilfsgrofie f olgendermaUen berechnet wird: 

^jf^ sp:= m'^P mod p; 

bei dem die zweite HilfsgroBe f olgendermaBen berechnet wird: 

30 sq = m^"^ mod q; 

bei dem der Zusammenf ugungsalgorithmus f olgendermaBen defi- 
niert ist: 



35 



5 = 5^ + {[(5/7 -sq)' ^i«v]mod p}'q ; und 
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bei dem der Uberpruf ungsalgorithmus f olgendermalien definiert 
ist : 

s mod p = sp; und/oder 
s mod q = sq; und 

bei dem das vorbestimmte Resultat eine Gleichheitsbedingung 
in dem Uberpruf ungsalgorithmus ist. 

7. Verfahren nach einem der Anspriiche 1 bis 5, das ferner 
folgenden Schritt aufweist: 

nach dem Schritt des Zusammenf ugens der ersten Hilfsgrofie und 
der zweiten Hilfsgrolie, Oberprufen, ob Eingangsdaten fur die 
Exponentiations-Berechnung verandert wurden, und, wenn dies 
der Fall ist, Unterdrucken des Ergebnisses der Exponentiati- 
ons-Berechnung • 

8. Verfahren nach Anspruch 1, bei dem zur Uberpruf ung von 
Hilf s-Exponenten (dp, dq) eine Zufallszahl (rand) verwendet 
wird. 

9. Verfahren nach Anspruch 7 oder 8, bei dem zur Oberprufung 
der ersten Primzahl (p) und der zweiten Primzahl (q) als Ein- 
gangsdaten eine Primzahl (t) verwendet wird. 

10. Verfahren nach Anspruch 9, bei der die Primzahl (t) eine 
Stellenzahl hat, die kleiner als eine Stellenzahl der ersten 
Primzahl (p) und der zweiten Primzahl (q) ist. 

11. Vorrichtung zum Absichern einer Exponentiations- 
Berechnung mittels chinesischem Restsatz (CRT) unter Verwen- 
dung zweier Primzahlen (p, q) , die Hilf s-Module fur eine Be- 
rechnung von HilfsgroBen bilden, die zusammenset zbar sind, urn 
eine modulare Exponentiation fur einen Modul zu berechnen. 
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der gleich dem Produkt der HilfsgroISen ist^ mit folgenden 
Merkmalen : 

einer Einrichtung zum Berechnen (12) der ersten Hilfsgroiie 
(sp) unter Verwendung der ersten Primzahl (p) als Modul; 

einer Einrichtung zum Berechnen (14) der zweiten Hilfsgrofie 
(sq) unter Verwendung der zweiten Primzahl (q) als Modul; 

einer Einrichtung zum Zusammenf ugen (16) der ersten Hilfsgro- 
iie (sp) und der zweiten Hilfsgroiie (sq) unter Verwendung ei- 
nes Zusammenf ugungsalgorithmus, urn ein Ergebnis der Exponen- 
tiations-Berechnung zu erhalten; 

einer Einrichtung zum Oberprufen (18) des Ergebnisses der Ex- 
ponentiations-Berechnung mittels eines Pruf algorithmus (66a^ 
66b) , der sich von dem Zusammenf ligungsalgorithmus unterschei- 
det, unter Verwendung der ersten Primzahl (p) und/oder der 
zweiten Primzahl (q) , wobei der Pruf algorithmus ein vorbe- 
stimmtes Resultat liefert^ wenn die Einrichtung zum Zusammen- 
fugen (16) ein korrektes Ergebnis geliefert hat; und 

einer Einrichtung zum Unterdrucken (22) einer Ausgabe des Er- 
gebnisses der Exponentiations-Berechnung;. falls die Einrich- 
tung zum Oberprufen (18) anzeigt^ dali der Pruf algorithmus ein 
anderes als das vorbestimmte Resultat liefert. 
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Zusammenf assung 

Verfahren und Vorrichtung zum Absichern einer Exponentiati- 
ons-Berechnung mittels dem chinesischen Restsatz (CRT) 

5 

Bei einem Verfahren zum Absichern einer Exponentiations- 
Berechnung mittels chinesischem Restsatz wird insbesondere 
der Zusammenfugungsschritt (16) , bei dem vorzugsweise der Zu- 
sammenf ugungsalgorithmus nach Garner verwendet wird, auf sei- 

10 ne Korrektheit hin vor der Ausgabe (24) des Ergebnisses des 

Zusammenf iigungs-Schritts uberpruft (18) . Damit wird unmittel- 
bar vor der Ausgabe des Ergebnisses der Exponentiations- 
]0 Berechnung der Zusammenf ugungs-Algorithmus uberpruft, urn die 
Ausgaben eines falschen Ergebnisses beispielsweise aufgrund 

15 einer Hardware-Fehlerattacke zu unterbinden, urn die Fehlerat- 
tacke abzuwehren. 

Figur 1 
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